IBM Tivoli Security Solutions
System & Security Information
Management
Giuseppe Clerici
Software Group - Tivoli Technical Sales
© IBM Corporation 2009
IBM Tivoli Security Solutions
TCIM
Giuseppe Clerici
Software Group - Tivoli Technical Sales
© IBM Corporation 2009
IBM Tivoli Security Solutions
Cosa aiutiamo a fare per la tematica PUMA
Privileged User Monitoring and Audit
Richieste da parte dell’IT e Business management:
‰ Siamo in grado di controllare se esistono manipolazioni di info sensibili?
‰ Possiamo verificare le attività degli outsourcers?
‰ Possiamo ottenere segnalazioni a fronte di attività non autorizzate?
‰ Riusciamo a dimostrare la validità della segregation of duties?
‰ Possiamo investigare su quanto accaduto in modo tempestivo?
Richieste da parte degli auditor:
‰ Vengono tracciati e visionati i log di applicazioni, database, S.O. e device?
‰ Le attività dei system administrator, DBA e system operator sono tracciate nei log e sono
verificate in maniera regolare?
‰ Sono tracciati gli accessi a dati sensibili – incluso root/administration e i DBA – nei vari log?
‰ Esistono dei tool automatici per i processi di audit?
‰ Gli incidenti di sicurezza e le attività sospette sono analizzate al fine di intraprendere delle
azioni correttive?
3
IBM Tivoli Security Solutions
Log management: Cosa è necessario rilevare
Categoria
Descrizione
Eventi di autenticazione
Eventi di logon / logoff
Eventi di gestione
Start di server, stop, back-up, restore
Change management
Modifiche di configurazione, modifiche sui processi di auditing,
modifiche sulla struttura dei database, attività di manutenzione
Gestione utenze
Creazione di nuove utenze, modifica dei privilegi utente, attività di
cambio password
Diritti di accesso
Comportamento di tutti i DBA includendo gli accessi ai dati, DBCC
(Database Console Command), call a stored procedure
Accesso ai dati sensibili Tutti gli accessi ai dati sensibili immagazzinati nei database e quindi
operazioni di: select, insert, update, delete
4
IBM Tivoli Security Solutions
La normativa: Il garante obbliga le aziende a gestire i log degli
amministratori di sistema
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
PROVVEDIMENTO 27 novembre 2008
MISURE E ACCORGIMENTI PRESCRITTI AI TITOLARI DEI TRATTAMENTI EFFETTUATI CON
STRUMENTI ELETTRONICI RELATIVAMENTE ALLE ATTRIBUZIONI DELLE FUNZIONI DI
AMMINISTRATORE DI SISTEMA
(Pubblicato sulla G.U. n. 300 del 24-12-2008 )
HINTS
9 È la prima volta che sono esplicitati obblighi per la gestione dei log in sicurezza per tutte
le aziende
9 Impatti pervasivi per la sicurezza dei Sistemi Informativi dovuti alla definizione di
“Amministratore di sistema” molto ampia
9 Richiede misure organizzative, tecnologiche e procedurali
9 Tempi di adozione molto stretti – 120 gg dal 24 dicembre 2008
5
P
o
ugn
i
G
ga a
o
r
o
r
IBM Tivoli Security Solutions
La normativa: Il provvedimento prevede di svolgere le seguenti attività
‰ Valutazione delle caratteristiche soggettive: esperienza, capacità, affidabilità del soggetto
designato
‰ Designazioni individuali: elencazione degli ambiti di operatività in base al profilo
‰ Elenco degli Amministratori di Sistema allegato al DPS
ƒ Informativa interna specifica sulla identità degli Amministratori di Sistema
ƒ Conservazione degli estremi degli ammministratori per i servizi in outsourcing
‰ Verifica annuale delle attività degli Amministratori di Sistema
‰ Registrazione degli accessi
ƒ Adozione di sistemi di registrazione idonei
ƒ Qualifiche dei log: completezza, inalterabilità e possibilità di verifica integrità
ƒ Contenuti: descrizione evento, riferimento temporale, archiviazione non inferiore a sei mesi
6
IBM Tivoli Security Solutions
La soluzione proposta da IBM
‰
Servizi consulenziali per:
Asse‰
‰
‰
valutare lo “stato dell’arte” del cliente rispetto alla normativa e sviluppare il piano di rientro
Definire la gestione di “ruoli e profili”
Piattaforma software per:
‰
la verifica periodica dell’attività degli amministratori “Tivoli Compliance Insight Manager” (TCIM)
‰
garantire l’archiviazione sicura dell’attività degli amministratori “System Storage Archive Manager” (SSAM)
‰
la gestione “automatizzata” di ruoli e profili “Tivoli Identity Management” (TIM)
‰
hardening dell’accesso ai log “Tivoli Access Manager for OS” (TAMOS) - “ISS Proventia”
TIM
Gestione automatizzata dei Ruoli e dei Profili
TCIM
Centralizzazione dei log
Audit & Compliance
Verifica attività
amministratori
L
SSAM
Sorgente
TAMOS - ISS Proventia
7
Conservazione e
Protezione dei dati
Sistema di
archiviazione sicura
Controllo e restrizioni per l’accesso ai log
IBM Tivoli Security Solutions
IBM Tivoli Compliance Insight Manager Portal
8
IBM Tivoli Security Solutions
Le tre C del TCIM: Capture, Comprehend, Communicate
TCIM
TCIM
9
IBM Tivoli Security Solutions
Le tre C del TCIM: Capture – Enterprise Log Management
Funzionalità:
‰ Centralizzazione sicura ed affidabile di log da
numerose piattaforme
‰ Raccolta automatica dei syslogs
‰ Supporto su attività di raccolta di eventi da log
nativi
‰ Memorizzazione efficiente ed in modalità
compressa dei dati
‰ Possibilità di query e definizione di report custom
oltre a quelli offerti nativamente
Benefici:
‰ Riduzione dei costi grazie all’automatizzazione e
centralizzazione delle attività di raccolta dei dati
‰ Garanzia di una costante condizione di “audit
ready”
10
IBM Tivoli Security Solutions
Le tre C del TCIM: Capture – Log Continuity Report
Controllo automatico che evidenzia la continuità e la completezza del processo di log
management
11
IBM Tivoli Security Solutions
Le tre C del TCIM: Comprehend – Verifica delle attività degli utenti
87%
87%degli
degliincidenti
incidentiinterni
internisono
sonocausati
causatida
dautenti
utentiprivilegiati.
privilegiati.
12
IBM Tivoli Security Solutions
Le tre C del TCIM: Comprehend – Normalizzazione dei log
Windows
z/OS
AIX
Oracle
SAP
ISS
FireWall-1
Exchange
IIS
Solaris
Traduzione dei logs in “Formato Unico”
1.
Who
2.
What
3.
On What
4.
When
5.
Where
6.
Where From
7.
To Where
Tivoli Compliance Insight Manager
TCIM
TCIMstoricizza
storicizzaleleinformazioni
informazionididisecurity
securityeecompliance
complianceottimizzando
ottimizzandoi itempi
tempi
ed
i
costi
attraverso
l’automatizzazione
dei
processi
di
monitoraggio
aziendale
ed i costi attraverso l’automatizzazione dei processi di monitoraggio aziendale
13
IBM Tivoli Security Solutions
TCIM - event sources supportati
Applications:
Servers:
ƒ
IBM AIX Audit logs
ƒ
IBM AIX syslog
ƒ
IBM OS/400 & i5/OS journals
ƒ
Tivoli Identity Manager
ƒ
Tivoli Access Manager for OS and for e-Business
ƒ
Tivoli Federated Identity Manager on:
ƒ
ƒ
AIX, Solaris, Windows, Red Hat ES, SUSE, HPUX
Tivoli Directory Server on:
ƒ
AIX, Solaris, Windows, HPUX, Red Hat, SUSE
ƒ
Hewlett-Packard HP-UX Audit logs
ƒ
SAP R/3 on Windows, Solaris, AIX, HP-UX
ƒ
Hewlett-Packard HP-UX syslog
ƒ
mySAP
ƒ
Hewlett-Packard NonStop (Tandem)
ƒ
Misys OPICS
ƒ
Hewlett-Packard OpenVMS
ƒ
BMC Identity Manager
ƒ
Hewlett-Packard Tru64
ƒ
CA eTrust (Netegrity) SiteMinder
ƒ
Microsoft Windows
ƒ
RSA Authentication Server
ƒ
Novell Netware
ƒ
Microsoft Exchange
ƒ
Novell NSure Audit
ƒ
IBM Lotus Domino Server on Windows
ƒ
Novell Audit
ƒ
Microsoft Internet Information server
ƒ
Novell Suse Linux
ƒ
SUN iPlanet Web Server on Solaris
Devices:
ƒ
Cisco Router
ƒ
Hewlett-Packard ProCurve Switch
ƒ
Blue Coat Systems ProxySG Series
ƒ
Check Point Firewall-1
ƒ
Cisco PIX
ƒ
Cisco VPN Concentrator (3000 series)
ƒ
Symantec (Raptor) Enterprise Firewall
ƒ
ISS RealSecure
ƒ
ISS System Scanner
ƒ
ISS SiteProtector
ƒ
McAfee IntruShield IPS Manager
ƒ
McAfee ePolicy Orchestrator
ƒ
Snort IDS
ƒ
Symantec Antivirus
ƒ
RedHat Linux
ƒ
Stratus VOS
Supported databases:
ƒ
TrendMicro ScanMail for Domino
ƒ
SUN Solaris BSM Audit logs
ƒ
IBM DB2 on z/OS
ƒ
TrendMicro ScanMail for MS Exchange
SUN Solaris syslog
ƒ
IBM DB2 on Windows, Solaris, AIX, HPUX, Linux
ƒ
TrendMicro ServerProtect for Windows
ƒ
IBM DB2 / UDB on Windows, Solaris, AIX
ƒ
Microsoft SQL Server application logs
Mainframe:
ƒ
Microsoft SQL Server trace files
ƒ
IBM z/OS + RACF
ƒ
Oracle DBMS on Windows, AIX, Solaris, HP-UX
ƒ
IBM z/OS + CA ACF2
ƒ
Oracle DBMS FGA on Windows, AIX, Solaris, HP-UX
ƒ
IBM z/OS + CA Top Secret
ƒ
Sybase ASE on Windows, AIX, Solaris, HP-UX
ƒ
CA Top Secret for VSE/ESA
ƒ
IBM Informix Dynamic Server on Windows, AIX, Solaris and HPUX
ƒ
+ TCIM CAN COLLECT FROM VIRTUALLY ANY EVENT SOURCE
+ Listed above are the event sources for which we have developed W7 mapping
+ Addditional mappers can be developed as needed based on customer requirements
14